Комп'ютерний хробак
Хробак комп'ютерний — програма, що саморозповсюджуєтся, яка долає всі три етапи розповсюдження самостійно (звичайний Хробак), або використовує агента-користувача тільки на 2-му етапі (поштовий черв'як).
Історія
Одні з перших експериментів по використанню комп'ютерних хробаків в розподілених обчисленнях відбулися в дослідницькому центрі Xerox в Пало Альто Джоном Шочем (John Shoch) та Йоном Хуппом (Jon Hupp) в 1978. Термін виник під впливом науково-фантастичних романів Девіда Герролда «Коли ХАРЛІ виповнився рік» та Джона Браннера «На ударній хвилі» (David Gerrold «When H.A.R.L.I.E Was One», John Brunner «The Shockwave Rider», Thomas Ryan «The Adolescence of P-1»).
Одним з найбільш відомих комп'ютерних хробаків є «Хробак Моріса», написаний Робертом Морісом-молодшим, який був в той час студентом Корнельского Університету. Поширення хробака почалось 2 листопада 1988, після чого хробак швидко заразив велику кількість комп'ютерів, під'єднаних до інтернету.
Механізми поширення
Хробаки можуть використовувати різноманітні механізми («вектори») поширення. Деякі хробаки потребують певних дій користувача для поширення (наприклад, відкриття інфікованого повідомлення в клієнті електронної пошти). Інші хробаки можуть поширюватися автономно, вибираючи та атакуючи комп'ютери в повністю автоматичному режимі. Іноді зустрічаються хробаки з цілим набором різноманітних векторів поширення, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.
Структура
Хробаки можуть складатися з різних частин.
Часто виділяють так звані ОЗП-резидентні хробаки, які можуть інфікувати працюючу програму і знаходиться в ОЗП, при цьому не зачіпаючи тверді диски. Від подібних хробаків можна позбутися перезапуском комп'ютера (і, відповідно, скиданням ОЗП). Ці хробаки складаються в основному з «інфекційної» частини: експлойта (шелл-кода) і невеликого корисного навантаження (самого тіла хробака), яке знаходиться повністю в ОЗП. Специфіка подібних хробаків полягає в том, що вони не завантажуються через завантажувач як всі звичайні виконувані файли, тому відповідно, можуть розраховувати лише на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.
Також існують хробаки, які після вдалого інфікування пам'яті зберігають код на твердому диску і приймають заходи для наступного запуску цього коду (наприклад, прописують відповідні ключі в реєстрі Windows). Від таких хробаків можна позбутися лише за допомогою антивіруса або подібних інструментів. Часто інфекційна частина таких хробаків (експлойт, шелл-код) містить невелике корисне навантаження, яке завантажується в ОЗП і може «довантажити» через мережу саме тіло хробака в вигляді окремого файла. Для цього деякі хробаки можуть містити в інфекційній частині простий TFTP-клієнт. Завантажене таким способом тіло хробака (зазвичай окремий виконуваний файл) тепер відповідає за подальше сканування та поширення вже з інфікованої системи, а також може містити більш серйозне, повноцінне корисне навантаження, цілю якого може бути, наприклад, нанесення певної шкоди (наприклад, DoS-атаки).
Більшість поштових хробаків поширюються як один файл. Їм не потрібна окрема «інфекційна» частина, так як зазвичай користувач-жертва за допомогою поштового клієнта добровільно завантажує та запускає хробака.
Корисне навантаження
Часто хробаки навіть без певного корисного навантаження завантажують і тимчасово виводять з ладу мережі лише за рахунок інтенсивного поширення. Типове осмислене корисне навантаження може полягати в псуванні файлів на комп'ютері-жертві (в тому числі, зміна веб-сторінок, «Дефейс»), попередньо запрограмованої DDoS-атаці з комп'ютерів жертв на певний веб-сервер, або бекдор для віддаленого керування над комп'ютером-жертвою. Часто зустрічаються випадки, коли новий вірус експлуатує бекдори, залишені старим.
 | Ця стаття не містить посилань на джерела. |